Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Software
>
Mojave Sicherheitsupdate und T2-Chip?
Mojave Sicherheitsupdate und T2-Chip?
gacki
19.04.21
17:53
Auf einer meiner Arbeitsstellen betreue ich mehrere Rechner (Windows und Mac); unter anderem einen iMac und einen Mac mini 2018. Bei letzterem schlägt das Einspielen des letzten Sicherheitsupdates fehl: Das Update lässt sich zwar herunterladen, beim eigentlichen Installieren werde ich aber darauf hingewiesen, dass zur Installation eine Internetverbindung notwendig wäre (was insofern etwas bizarr ist, da ich das Update ja via Internetverbindung heruntergeladen habe). Alle anderen Updates laufen problemlos durch.
Mich beschleicht der Verdacht, dass das vielleicht etwas mit dem T2-Chip zu tun haben könnte? Beim iMac gab es keine Probleme mit der Installation.
Die Netzwerkumgebung ist nicht ganz unproblematisch: viele Ports sind vernagelt und der ganze Verkehr geht über einen hausinternen Proxy. Außerdem ist Sophos installiert.
Ist es bekannt, ob T2-Rechner bei Sicherheitsupdates auf irgend einem Port "nach Hause telefonieren"? Gibt es andere Möglichkeiten, das Update zu installieren? (Klar, den Rechner nach Hause mitzunehmen wäre eine Möglichkeit - aber eigentlich müsste das doch auch so gehen?)
Hilfreich?
0
Kommentare
MikeMuc
19.04.21
19:20
gacki
Warum schnappst du dir nicht einen der dortigen „Netzwerker“ und läßt den die Firewalls etc. beobachten. Der müßte ja sehen können, das da ein / dein Gerät raus will und wohin.
Hilfreich?
+1
gacki
19.04.21
20:41
Aussage der Administratorin: Wenn ich wüsste, welcher Port benötigt würde, würde sie ihn ggf. temporär freischalten...
Mir geht es ja auch darum, herauszufinden, wa da eigentlich passiert und warum.
Hilfreich?
0
Deichkind
19.04.21
21:08
Das Firmware-Update für den T1/T2-Chip ist nicht Bestandteil des Standalone-Installers, sondern wird extra heruntergeladen, schreibt Howard Oakley zum Beispiel in diesem Bericht vom Sommer 2019
.
Hier
gibt es einen Übersicht-Artikel.
Hilfreich?
+2
rmayergfx
19.04.21
21:41
gacki
Aussage der Administratorin: Wenn ich wüsste, welcher Port benötigt würde, würde sie ihn ggf. temporär freischalten...
Sie sollte sich vllt. mal nach einem anderen Job umsehen oder sich einlesen wie Wireshark funktioniert. Jeder halbwegs gute*r Netzwerkadministrator*in kann sich ansehen, welche Verbindungen ein Client im Netzwerk öffnet.
Und um festzustellen ob es tatsächlich am LAN liegt, einfach den Stecker raus und das Update über WLAN und Handy Hotspot anstossen.
PS: Um welches Sicherheitsupdate geht es genau ?
„Der Computer soll die Arbeit des Menschen erleichtern, nicht umgekehrt !“
Hilfreich?
0
gacki
19.04.21
23:25
Deichkind
Das Firmware-Update für den T1/T2-Chip ist nicht Bestandteil des Standalone-Installers, sondern wird extra heruntergeladen, schreibt Howard Oakley zum Beispiel in diesem Bericht vom Sommer 2019
.
Hier
gibt es einen Übersicht-Artikel.
Danke, das ist interessant.
Ich hatte nach der Fehlermeldung des Installers gesucht und nichts sinnvolles gefunden.
Hilfreich?
0
gacki
19.04.21
23:31
rmayergfx
gacki
Aussage der Administratorin: Wenn ich wüsste, welcher Port benötigt würde, würde sie ihn ggf. temporär freischalten...
Sie sollte sich vllt. mal nach einem anderen Job umsehen oder sich einlesen wie Wireshark funktioniert. Jeder halbwegs gute*r Netzwerkadministrator*in kann sich ansehen, welche Verbindungen ein Client im Netzwerk öffnet.
Wir sind öffentlicher Dienst. Wenn ich Software installieren möchte, muss ich das immer auf die Tippeltappeltour machen, weil die Autorisierungsserver vieler Anbieter aus unserem Netzwerk nicht erreichbar sind. Es
könnte
sein, dass das sogar Vorgaben des Ministeriums sind.
Wir haben auch ein WLAN, bei dem aber der Zugang zu unserer eigenen Website
gesperrt ist (danke, Sophos!). Dafür funktioniert dort aber Spotify, was wiederum im LAN nicht geht...
PS: Um welches Sicherheitsupdate geht es genau ?
Das letzte. Genaue Daten dazu kann ich vermutlich erst am Donnerstag rausfinden.
Hilfreich?
0
Marcel Bresink
20.04.21
09:05
gacki
viele Ports sind vernagelt und der ganze Verkehr geht über einen hausinternen Proxy. Außerdem ist Sophos installiert.
Wenn dabei auch HTTPS-Verbindungen umgelenkt werden, sind vermutlich Pseudo-Zertifikate im Spiel. Eine solche Konfiguration wird von macOS erkannt und automatisch als "Man-in-the-Middle"-Angriff eingestuft.
Falls diese Vermutung stimmt, lehnt macOS die Installation ab, weil dieses Netzwerk
zu unsicher
ist, nicht etwa, weil es zu stark abgesichert wäre. Aber ohne weitere Informationen kann man nur spekulieren.
Hilfreich?
+3
gacki
20.04.21
10:28
Marcel Bresink
Wenn dabei auch HTTPS-Verbindungen umgelenkt werden, sind vermutlich Pseudo-Zertifikate im Spiel. Eine solche Konfiguration wird von macOS erkannt und automatisch als "Man-in-the-Middle"-Angriff eingestuft.
Falls diese Vermutung stimmt, lehnt macOS die Installation ab, weil dieses Netzwerk
zu unsicher
ist, nicht etwa, weil es zu stark abgesichert wäre. Aber ohne weitere Informationen kann man nur spekulieren.
Ja, ich versuche mal, dort weitere Details herauszufinden.
Mich irritiert, dass diese Einstufung als "Man-in-the-Middle"-Angriff dann aber nur für bestimmte Updates getroffen würde - alle anderen Updates liefen problemlos durch (Safari, App Store usw.).
Hilfreich?
0
MikeMuc
20.04.21
11:16
gacki
Vielleicht, weil ein Update des T2 von Apple als wesentlich „kritischer“ eingestuft wird. Wenn da beim Update Schindluder getrieben wird, ist die Hardware kompromittiert. Das würde Apple sicher garnicht mögen und verhindert dann eben das Update.
Hilfreich?
0
gacki
25.04.21
13:47
Also: Es handelt(e) sich um das "Sicherheitsupdate 2021-002" für Mojave.
Laut Beschreibung ist ja die einzige relevante Änderung für Mojave eine neue sudo-Version; und dafür dann 1,6 GB...
Na schön.
Das Update ließ sich von besagtem Mac Mini auch manuell von
(also nicht aus Softwareupdate heraus) komplett laden. Installation schlug aber wieder fehl. Hrmpf.
Da ich mir den Zirkus mit dem Netzwerk gerade nicht geben wollte und es ja ein eher kleiner Rechner ist, habe ich ihn kurzerhand nach Hause mitgenommen und das Update dort eingespielt. Anscheinend wurde in der Tat bei Beginn des Updateprozesses noch mal weiteres Material nachgeladen. Danach lief das Update dann problemlos durch.
Ich finde diese Trennung trotzdem irritierend, zumal sie ein "remote update" von Rechnern, die nicht an einem öffentlichen Netz hängen, praktisch unmöglich macht. Darüber hinaus finde ich die Fehlermeldung alles andere als hilfreich.
Hilfreich?
+1
Deichkind
25.04.21
15:48
Die Security-Updates sind kumulativ. Deshalb der große Umfang beim Download auch bei kleinen Änderungen. Bei Big Sur sind die Download-Mengen selbst bei kleinen Änderungen unter Umständen noch viel größer aus zusätzlich ganz anderen Gründen.
Vorweg: Ich habe kein Gerät mit T1- oder T2-Chip.
Bei meinem MacBookAir6,2 wurde die Boot-ROM-Version durch das Security-Update 2021-002 für Mojave nicht geändert, wohl aber ein paar Wochen vorher bei dem Update 2021-001.
Und sogar in dem Install.log für mein MacBook Air wird die Anforderung an die Mindestversion der iBridge-Firmware der T2-Geräte angegeben und die Erfüllung pro forma geprüft, obwohl es den Chip ja nicht hat. Der Eintrag lautet zum Beispiel: “bridgeOS: Minimum bridge version requirement satisfied (18.16.14345.5.1,0), skipping search for bridgeOS update”.
Es wäre aufschlussreich zu erfahren, ob sich bei deinem MacMini mit dem jüngsten Update die Version des BridgeOS geändert hat.
Howard Oakley verfolgt die Änderungen der Firmware. Hier der für Mojave und Catalina zutreffende Link
.
Leider gibt er in dem Text für jedes Modell nur jeweils die jüngste verfügbare Version an. Die Historie kann man allenfalls anhand der Kommentare zu dem im Oktober 2019 begonnenen Artikel herausfinden. Ich habe mir nur die Historie für mein MacBook Air und ein noch älteres MacBook Pro notiert.
Hilfreich?
0
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.
iPhone 16 Pro: Tippen oder Wischen ignoriert, N...
M4 Max: Noch beeindruckendere Benchmark-Ergebni...
Mac mini M4
iPhone 16 Pro in Einzelteilen – Details zum Auf...
Visa sah Apple als "existenzielle Bedrohung" an
Musikbranche verklagt KI-Anbieter
iPhone 16 Pro: Erfahrungen
Weitere Neuerungen: iPhone 16 mit 8 GB RAM +++ ...